Febrero 15, 2018

Información y acceso a los datos: RGPD IV

Archivado en: Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 10:41

Una parte esencial en tratamiento de datos es la información que se debe notificar al interesado cuando recabamos los datos o cuando este los solicita.

Tanto la nueva LOPD como el Reglamento (RGPD) hacen una división sobre la información que se debe facilitar en función de la fuente de dichos datos.

Si los datos se obtienen el propio interesado -por ejemplo mediante el registro en una Web- , el responsable del tratamiento le facilitará  en el mismo momento:

a)      la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)      caso de que exista, los datos de contacto del delegado de protección de datos;

c)       los fines para los que se van a utilizar los datos personales y el modo en que se van a utilizar. Debiéndose solicitar una nueva autorización si se cambia la finalidad a que destinarán los datos.

En particular, si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, se deberá informar de ello.

d)      los intereses legítimos concretos  del responsable del tratamiento o de un tercero para recabar esos datos;

e)      los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)       en su caso, si se va a producir una transferencia internacional de datos -por ejemplo si se usa un servicio en la nube cuyos servidores se encuentran en el extranjero-.

Si los datos NO se obtienen el propio interesado, el Responsable del Tratamiento le facilitará, además de toda la información precedente:

a)      Las categorías de datos objeto de tratamiento y

b)      las fuentes de la que procedieran los datos  y, en su caso, si proceden de fuentes de acceso público;

c)       el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

d)      la existencia de los derechos de acceso, rectificación o supresión y oposición, así como el derecho a la portabilidad de los datos;

e)      el derecho a retirar el consentimiento en cualquier momento;

f)       el derecho a presentar una reclamación ante la AGPD;

g)      la existencia de decisiones automatizadas, información significativa sobre la lógica aplicada en su caso, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Toda esa información deberá ser proporcionada  por el Responsable del Tratamiento al interesado como máximo en el plazo de un mes. O si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado. O si los datos se van a comunicar a otro destinatario, como máximo en el momento en que los datos personales sean comunicados por primera vez.

Excepciones

Pero como todo no podía ser tan fácil, el RGPD si establece excepciones. Casos en los que el deber de información no es imprescindible y que pueden facilitar mucho la vida a Responsable del Tratamiento. Estas son:

  • que el interesado ya disponga de la información;
  • la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,;
  • que la obtención o la comunicación esté expresamente establecida por Ley;
  • o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por Ley.

Acceso

En todo caso, el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a toda la información que le debería -o le fue- comunicada detallada anteriormente además de, caso de haber transferido los datos a un tercer país, las garantías relativas a la transferencia.  Para ello el Responsable del Tratamiento facilitará una copia de los datos personales objeto de tratamiento, pudiendo para ello exigir al interesado un canon razonable basado en los costes administrativos.

Es decir, vendremos obligados a entregar copia de los datos, pero podremos exigir el importe del coste que ello ocasione.

Finalmente sólo queda señalar la obviedad de que es obligatorio entregar o notificar toda la información citada anteriormente, pero es sabio conservar copia o justificante de haberla entregado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 13, 2018

Datos especialmente protegidos – RGPD III

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 12:01

Podemos tratar toda clase de datos siempre que medie consentimiento, pero hay algunas categorías de datos de los que el Reglamento (RGPD) prohíbe el tratamiento. Son datos “especialmente protegidos”, aunque -como casi todo en Protección de Datos- con matices.

Así, el Reglamento prohíbe el tratamiento de Datos:

  • que revelen el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

Salvo excepciones (y excepciones a las excepciones):

  • Que el interesado de su consentimiento explícito salvo que lo prohíba expresamente una ley.

Consentimiento que no bastará para levantar la prohibición según la nueva LOPD para datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico… Pura matemática: prohibición x excepción x prohibición de la excepción = prohibido.

  • El tratamiento de los datos es necesario es necesario para el cumplimiento de obligaciones  legales en el ámbito del Derecho laboral y de la seguridad y protección social.

Es decir, que si hay una obligación legal que necesite del tratamiento de esa categoría de Datos, su tratamiento SÍ estará permitido.

  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Si está capacitado, sí será necesario el consentimiento. O dicho en sentido contrario: según el Reglamento, hasta para salvarle la vida a alguien se necesita su consentimiento para tratar los datos si puede dar dicho consentimiento

  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Si bien en este caso los datos exigirán de otros deberes de información que se tratarán por su extensión en otro Post.

-        Aviso a empresas de marketing, big data, etc. Los datos manifiestamente públicos podrán ser utilizados

-        Aviso a particulares: cuidado con lo que se cuelga y como se cuelga en Twitter, redes sociales, etc.

  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • Por razones de Interés público.

Veremos el desarrollo si es que este llega a producirse, pero de momento esta excepción parece cajón de sastre que abre la puerta a posibles actuaciones Orwelianas;

  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado.

(Nota: Resuelta la excepción a la excepción: las ambulancias no necesitarán llevar formularios a firmar por el accidentado para poder comunicar al hospital la situación del mismo antes de llegar.)

  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En resumen, si se trata de una empresa, entidad o profesional podrá tratar datos especialmente protegidos como los datos relativos a la salud, datos genéticos sólo con consentimiento del interesado. Pero en ningún caso podrá tratar datos como la ideología, las convicciones religiosas o políticas, la vida sexual o la afiliación sindical, salvo que la normativa laboral nos obligue a tratarlos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 25, 2018

Cobrar online y tarjetas de crédito

Si tiene un negocio y vende o presta servicios por internet que cobra Online, no guarde los números de tarjetas de crédito de sus clientes, aunque sea para mejorar la experiencia de usuario.

El máximo objetivo de un emprendedor en Internet es ‘cobrar

Y la primera preocupación es ‘como cobrar’

Cobrar

Para ‘cobrar‘ contratamos un TPV virtual o servicio asimilado que nos proporciona una Entidad de Servicios de Pago o un banco (PAYPAL lo es) que preste servicios de pago y actúa como prestador de este tipo de servicios.

Por ley, sólo las Entidades de Crédito (bancos), las Entidades de Dinero Electrónico y las Entidades de Servicios de Pago pueden prestar estos servicios. Y en particular sobre estas últimas, sólo las Entidades de Pago que constan en el listado que publica el Banco de España. Hay otras muchas a las que se puede acceder a través de Internet, algunas de la Unión Europea, pero exclusivamente las que figuran en el listado periódicamente actualizado pueden operar en España con todas las garantías.

Art. 3.9 Ley de Servicios de Pago. «Proveedor de servicios de pago»: los organismos públicos, entidades y empresas autorizadas para prestar servicios de pago en España o en cualquier otro Estado miembro de la Unión Europea…;

Usabilidad… ilegalmente

En el comercio electrónico es algo que ya prácticamente no se hace, pero era común hace no tanto tiempo -en su mayor parte sin mala intención y para facilitar la experiencia de usuario- que los sitios web conservaran los datos de las tarjetas de su clientes. Es algo prohibido por Ley y que puede acarrear graves consecuencias.

La Ley de Servicios de Pago autoriza a estas entidades a realizar “actividades de custodia y almacenamiento y tratamiento de datos” (Art 9.1.a) al tiempo que establece un régimen sancionador calificándolas como infracciones “graves” para quien realice las actividades que le son propias sin contar con autorización. Remitiendo el régimen sancionador a la Ley que regulas las sanciones que se le impondrían a un banco.

Art. 4.4 Ley de Servicios de Pago: “Las personas físicas o jurídicas que infrinjan lo dispuesto en este artículo, serán sancionadas con arreglo a lo dispuesto en el artículo 29 de la Ley 26/1988, de 29 de julio, sobre disciplina e intervención de las entidades de crédito sin perjuicio de las demás responsabilidades que puedan resultar exigibles.”

La citada Ley de disciplina e intervención de entidades de crédito ha sido ya derogada, pero ello no implica que haya desaparecido el régimen sancionador. Ha sido sustituida por la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito que establece una sanción de,

a) De entre el doble y el triple del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan cuantificarse; o

b) De entre el 3% y el 5% del volumen de negocios neto anual total, incluidos los ingresos brutos procedentes de intereses a percibir e ingresos asimilados, los rendimientos de acciones y otros valores de renta fija o variable y las comisiones o corretajes a cobrar que haya realizado la entidad en el ejercicio anterior; o multa de entre 2.000.000 y 5.000.000 de euros, si aquel porcentaje fuera inferior a esta cifra.

Experiencia de usuario… legalmente

Es bien sabido que en el Comercio Electrónico la experiencia de usuario lo es todo, o casi. Cuando hacemos una compra por Internet , al momento del pago nos piden los datos de la tarjeta, de PAYPAL  del medio de pago que mejor nos convenga como usuarios. Y en la misma página de la tienda introducimos esos datos para realizar el pago. Pero eso es falso.

Aunque lo parezca, los datos de la tarjeta no se los estamos dando a la tienda ―o no deberíamos―, sino a una entidad de pago que es quien recibirá esos datos, los tratará y los gestionará para realizar el pago.

Pero además hay tiendas que mejoran la experiencia de usuario y nos permiten realizar la compra sin necesidad de volver a introducir los datos de la tarjeta (pagos recurrentes, se llama desde el punto de vista de los servicios de pago). En este caso la tienda tampoco se ha quedado con los datos de la tarjeta, sino que se ha quedado simplemente con los datos del usuario que ha concedido una autorización a la Entidad de Pago para realizar esos pagos recurrentes a través de un mecanismo que se llama Tokenización y que permite a los comercios electrónicos mejorar la experiencia de usuario sin infringir la ley y con total seguridad para el usuario.

La tokenización es algo que no ofrecen todas las plataformas de pago, pero es una solución útil y legal para el emprendedor informado y eficiente.

Emprender el internet es un proceso complejo en el que intervienen numerosos y muy diversos elementos legales. Si va a emprender, contáctenos y le apoyaremos en el proceso aportándole la seguridad que necesita.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 22, 2017

Los Reyes Magos y el (nuevo) Reglamento de Protección de Datos (RGPD)

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:07

Post recomendado exclusivamente para mayores o menores informados.

Magia e ilusión en estado puro, pero antes que los Reyes Magos (ciudadanos extracomunitarios) le toca otro personaje del mismo gremio, vecino nuestro y residente comunitario suponemos que en alguna urbanización de la costa: San Nicolás (Sinterklaas en los Países Bajos), que no sabemos si cobra el PER el resto del año, pero que sólo trabaja el 6 de diciembre (poco que ver con el Papa Noel  o Santa Claus que llega la noche del 24 de diciembre).

Sinterklaas es como nuestros Reyes Magos, sólo que en lugar de venir de Oriente en camello dice la tradición que es un obispo mayor de barba larga, vestido de fiesta mayor, al que nadie debería extrañarse de ver en la planta de juguetes de El Corte Inglés o similar y que va desde España en barco a Holanda y Bélgica a llevar regalos y dulces naranjas… aunque en este año pudiera pensarse que no deben haber sido muy buenos los niños por esos lares cuando Zwartemont(1),, por la cara que se les ha quedado, parece haberles llevado más limones que dulces naranjas a los belgas.

Sinterklaas y el RGPD

Pero, como este es un blog jurídico y como tal vamos a tratarlo, pasamos a plantear de forma concisa los elementos claves de la situación jurídica de Sinterklaas a la luz del RGPD :

  • Como hemos visto, Sinterklaas es residente en España (residente comunitario)
  • Sinterklaas es mágico y dispone de datos para saber qué niños se han portado bien y cuáles no… un fichero organizado de datos en toda regla.
  • Los datos de que dispone son de niños comunitarios (Holanda y Bélgica entre otros), por lo que las exigencias no serían mayores que si los fueran españoles.
  • Evidentemente  es una cantidad masiva de datos, con lo cual entendemos que dispondrá de un Delegado de Protección de Datos.
  • Como  la actividad de Sinterklaas se inicia con una acción activa del interesado pidiendo regalos por carta, eso supone obviamente una autorización expresa.
  • Pero -salvo algún despistado- los firmantes son menores de 13 años, así que sus padres deberán firmar su autorización a la tenencia de los datos(2).
  • En el fichero figura cómo se han portado cada niño (son datos de comportamiento íntimo y de lo más personal) y sabe lo que quieren de regalo (hábitos de consumo)
  • Pero es que además esos menores están en otro país de la UE.
  • Podemos suponer que aunque sea muy estacional, dado el volumen de trabajo dispondrá de más de 250 ayudantes, así que deberá mantener un “Registro de Actividades”.
  • Normalmente las comunicaciones con Sinterklaas o los Reyes se realizan por correo postal, así que como no hay otra forma, con los regalos deberíamos encontrar por la mañana un documento en que figure toda la información que ya contamos antes en otro post.

Y al margen de esto también cabe preguntarse,  ¿tendrá Sinterklaas, como residente y con los servidores en España, el fichero inscrito ante la AGPD?… al menos hasta el 25 de mayo que en principio dejará de ser obligatorio, debería.

¿¡Y qué pasa con los Reyes Magos!?

Los Reyes Magos disponen de los mismos datos y hacen el mismo uso de los mismos planteado para Sinterklaas, pero como resulta evidente, lo tienen más difícil y el uso y ‘manejo’ de esos datos tendrá muchas más exigencias.

Los Reyes Magos lo son de Oriente y, por lo tanto, son ciudadanos extracomunitarios.  No sabemos a día de hoy si como jefes de Estado tendrán pasaporte diplomático, si FRONTEX les permitirá llegar este año, si habrán conseguido ya el preceptivo visado o si habrán hecho la los trámites aduaneros necesarios para los regalos. Pero como este post va de protección de datos y no de extranjería o fiscalidad, dejaremos de lado este complicado tema y pasemos a lo que nos ocupa.

Los datos sobre los niños y su bondad o maldad a lo largo del año se recaban aquí por un -o tres en este caso- no residente/s. Y, como hemos visto,  posteriormente son trasladado a su domicilio social en territorio extracomunitario. Ello implica una transferencia internacional de datos que exigiría:

  • Normas corporativas vinculantes para responsables y Encargados del tratamiento
  • Aceptación expresa para la transferencia por parte del mayor de 13 años(2) o sus tutores legales .
  • Autorización expresa por parte de la AGPD.
  • Cláusulas contractuales para el tratamiento de datos y los correspondientes garantías en Oriente que deberán ofrecer los Reyes magos debidamente firmadas.

Los Reyes magos sólo podrían transmitir los datos sin autorización previa al lugar de su domicilio social sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos, imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados…. Algo para lo que no parece que se adapte a la norma por mucho que forcemos la interpretación alegando los únicos interesados son los niños (muy limitado) y que es temporal hasta que cuando crezcan descubran “LA VERDAD” de los Reyes Magos y Sinterklaas.

Magos Intenational Network

Me preguntaba hace ya un tiempo una persona profundamente preocupada por el tema: “¿¡Sinterklaas se ‘chiva’ a los Reyes magos!?”. Y yo pienso: si Sinterklaas se ‘chiva‘, es una transferencia extracomunitaria de datos.

Si los datos son comunicados por Sinterklaas porque es un chivato, entonces estamos ante una transferencia extracomunitaria de datos a un tercero fuera de la UE en un lugar que suponemos -viendo en las noticias  como está por el ‘Oriente’-  que no es un “lugar que ofrezca un nivel de protección adecuado” de acuerdo con la Comisión Europea y que por lo tanto exigirá a Sinterklaas obtener los mismos datos que hemos visto en el punto anterior que se exigirían a los Reyes magos y, además la notificación expresa a los niños mayores de 13 años(2) o a sus tutores legales, el detalle de los términos concretos de su acuerdo con los Reyes Magos (medidas de seguridad a adoptar en Oriente, plazo de cesión, uso de los datos, etc. etc., etc )

Mantener la ilusión: nota para interesados

Para caso de que lleguen a leer esto a pesar de la elevada carga de trabajo que deben tener en estas fechas, queremos aprovechar este post para instar encarecidamente tanto a Sinterklaas como a los Reyes Magos  que cumplan todas las obligaciones legales expuestas anteriormente. Con el nuevo RGPD y la nueva LOPD la Agencia de Protección de Datos mantiene sus facultades para aplicar unas sanciones para las que, a la espera del desarrollo reglamentario, ve reforzadas su discrecionalidad, su capacidad para graduarlas…. y su cuantía:

  • Para algunas infracciones, el importe de mayor cuantía entre: hasta 10.000.000,00€ o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior
  • Para otras infracciones consideradas más graves, el importe de mayor cuantía entre: hasta 20.000.000,00€ o hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior
  • Y esta última sanción de igual importe por no atender las resoluciones de la  AGPD

Para mantener la ilusión de niños y mayores, les rogamos desde aquí que cumplan ustedes con las obligaciones, no vaya a ser que el presupuesto se resienta por el paso de la AGPD y la magia los Reyes la tengan que usar de verdad para que los regalos tras la publicación del RGPD no se limiten a los excedentes de carbón del cierre de las térmicas o como mucho a juguetes de los chinos.

Deseamos desde aquí que tengamos todos un año lleno de ilusión y magia -a ser posible no financiera-.

.

.

(1) ‘Zwarte Pieten’ son los pajes ayudantes de Sinterklaas(San Nicolás, nada que ver con Papa Noel  o Santa Claus que llega en 24 de diciembre)

(2) La edad mínima fijada por el RGPD  para dar validez para prestar consentimiento menores es de 16 años, aunque autoriza a los estados a fijar una edad menor que en ningún caso se a inferior a 13 años. La edad actual en la LOPD es de 14 años, pero el proyecto de ley parece que lo adelanta hasta los 13 años que fija el RGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Mayo 12, 2017

UBER y la neutralidad de las plataformas

Archivado en: Comercio Electrónico, Informática — Etiquetas: , , — legisconsulting @ 10:49

Lo que denomina como “Economía Colaborativa” no es lo que yo, dedicado a esto desde hace años,  entiendo como tal. Y con el reciente dictamen del Abogado general de la UE en el caso UBER se ha vuelto a identificar como tal en los medios lo que es una actividad empresarial.

Obligada neutralidad de las plataformas.

Ya hace años que se estableció  desde Europa la doctrina legal de que las plataformas de Internet -esas que actúan como motor o instrumentos de la economía colaborativa-, deben ser neutrales.   Eso, simplificándolo mucho, quiere decir que estas deben ser un simple instrumento técnico o escaparate donde terceros por sí mismo cuelguen sus servicios o productos por un lado y otros terceros contraten o compren sin la intervención de la plataforma. Y llega a tal claridad la doctrina que incluso obliga a que sean los propios terceros quienes puedan colgar sus productos o servicios en la misma sin intervención no-automática de la plataforma.

Si la plataforma interviene de algún modo de forma activa en el negocio jurídico de los terceros, en la promoción de sus servicios individualizados, en su organización o en cualquier otro aspecto del negocio de los terceros, pasa de ser un simple instrumento técnico a venir obligada a cumplir los requisitos propios de la actividad que sea y pasa a ser parte del negocio jurídico nacido (en teoría) entre terceros, con las responsabilidades que ello implica.

Sin sorpresas

En mi opinión, UBER siempre ha sido una empresa que desarrolla una actividad concreta y no una mera plataforma de internet. Y es eso exactamente lo que ha venido a decir el Abogado General de la UE: si prestas servicios de transporte, los organizas, cobras y fijas los precios no eres un taxista porque ellos ni siquiera pueden fijar sus propios precios. Pero desde luego tampoco eres una plataforma de economía colaborativa, sino una empresa y por lo tanto debes cumplir con las exigencias, limitaciones y responsabilidades que la ley exige a tu actividad.

Economía disruptiva

Economía disruptiva es un término que me parece más exacto que el de colaborativa para actividades como la de UBER. Es entrar en un mercado tradicional operando de forma distinta a como se ha hecho.

En mi opinión, estas actividades disruptivas son innovadoras, enriquecen la economía, crean riqueza  y pueden llegar a forzar cambios en actividades tradicionales con normativas que pueden haber quedado obsoletas, pero no por el mero hecho de ser disruptivas son legítimas ni su crecimiento o popularidad le pueden aportar per se legitimidad.

Toda actividad debe adaptarse a la normativa que le es propia independientemente si consideramoes esta normativa justa, injusta, eficiente, te favorezca o no. Porque eso es el Estado de Derecho: saber a qué atenerse y ser igual para todos .

“Tomás de Aquino se pregunta si un pueblo independiente tenían el derecho a cambiar las leyes existentes practicando usos o costumbres que se apartaban de la Ley (antigua discusión jurídica ahora planteada en un contexto teológico). Había varios argumentos en contra. El Derecho humano se funda en el Derecho Natural y en el Derecho Divino, y por lo tanto no se puede cambiar. Un acto individual contra la ley es una infracción de la Ley; por tanto, una multiplicidad de tales actos y la consiguiente formación de una costumbre no podía ser “buena Ley”. Solo el legislador puede promulgar leyes y la costumbre tiene su origen en la conducta individual de los particulares – los sometidos a la Ley –. Tomás de Aquino cita una sola autoridad, pero  decisiva: San Agustín dice: “Las costumbres del pueblo de Dios… han de ser consideradas leyes. Y los que infringen las costumbres de la Iglesia deben ser castigados”

(Texto tomado del Blog Derecho Mercantil )

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 4, 2016

Reclamar por Usurpación de Nombres de Dominio

Existen diversas formas de reclamar un nombre de dominio “usurpado” y de las circunstancias concretas dependerá elegir el más apropiado para cada caso.

Como este es un blog jurídico, vaya por delante que el término “usurpación” es un término coloquial aplicable jurídicamente por ejemplo a los ocupas de un piso, pero no a quien nos quita un nombre de dominio de Internet.

Hay diversas formas por las que un dominio llega a estar en posesión de quien no tiene derechos sobre el mismo: desde el más puro delito informático; hasta los más comunes de los socios que no planificaron debidamente su actividad en un primer momento y al final, como sucede tantas veces, la alianza se rompe de forma indeseada; o el lamentablemente más corriente del informático al que alguien encarga su WEB y se toma la libertad de registrar el dominio a su nombre en lugar de a nombre del cliente.

La mayoría de la gente nunca se ha molestado en comprobar que son titulares del nombre de dominio que usan. Algo tan fácil y rápido como consultarlo en WHOIS en caso de dominios .com o .org entre otros ó en Dominios.es en caso de dominios .es. Tales buscadores mostrarán quien figura como titular del dominio y donde está alojado, y caso de haberse activado la privacidad y no poder ver el titular, siempre se puede dirigir uno al servicio donde está registrado para comprobar que es quien debería.

Si se comprueba que no se figura como titular, si en principio se ha pagado el nombre de dominio, se han pagado las sucesivas renovaciones del mismo en su caso y se ha hecho uso del mismo, aún cuando se encuentre registrado a nombre de un tercero el nombre de dominio podría ser reclamado en una (o varias) de las siguientes vías:

  • ICANN: Es “una entidad sin fines de lucro responsable de la coordinación global del sistema de identificadores únicos de Internet y de su funcionamiento estable y seguro“. Dispone de un sistema de resolución extrajudicial de disputas sobre nombre de dominio
  • Red.es: Se trata de una entidad pública Responsable de la gestión del Registro de nombres de dominio de Internet bajo el código de país “.es”.  dispone, al igual que ICANN de un procedimiento extrajudicial para la resolución de conflictos de acuerdo y con las condiciones contenidas  en su reglamento.
  • OMPI :”es el foro mundial en lo que atañe a servicios, políticas, cooperación e información en materia de propiedad intelectual (P.I.). Es un organismo de las Naciones Unidas, autofinanciado, que cuenta con 189 Estados miembros“. Se trata, al igual que en las vías anteriores, de una vía de solución extrajudicial de conflictos.
  • Tribunales: Obviamente, al margen de las soluciones extrajudiciales existen las tradicionales soluciones judiciales ante los tribunales correspondientes. Probablemente la vía menos deseable en la mayoría de los casos por su falta de agilidad en un tema a menudo de imperativa urgencia, pero con posibles ventajas en función de las circunstancias concretas, como que permite la reclamación de elementos que no son estrictamente el nombre dominio y tas trascendentales como las bases de datos habitualmente vinculadas a los contratos de alojamiento.
  • Via penal: Compatible con las opciones extrajudiciales si se dan los elementos del ‘tipo‘ (el delito). Se puede presentar online ante el Grupo de Delitos Telemáticos por delitos que ya se ha mencionado en este post que a pesar de ser citados en conversaciones coloquiales no son ni el de Usurpación del 245ss del Código Penal ni el de Apropiación indebida del 252 CP. Las únicas condenas producidas en por este tipo de hechos se han dado en aplicación de Delitos contra la propiedad industrial del 273 CP. Este procedimiento es válido para el nombre de dominio, pero también para todos los elementos que integran la propiedad industrial y compensación de daños. Está penado con hasta 6 años de prisión.

Consejo: Si entiendo que su dominio pudiera llegar a estar en riesgo la medida más efectiva para su protección sería el registro del dominio como marca ante la Oficina Española de Patentes y Marcas ante la presunción casi inatacable de titularidad que aportan los registros públicos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 21, 2016

RGPD I: Consentimiento y datos personales con el nuevo Reglamento UE

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , — legisconsulting @ 13:00

El nuevo Reglamento de protección de datos viene a introducir importantes novedades y entre ellas la base de todos los datos: el consentimiento del Usuario

El consentimiento hasta ahora

En Protección de datos el punto de partida y eje central de todo es el Consentimiento del usuario para el tratamiento y utilización de sus datos personales. Cuestiones como la utilización, el tratamiento o la seguridad de los mismos quedan supeditados a ese consentimiento previo.

La Ley Orgánica 15/1999, define Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Debiendo los interesados a los que se soliciten datos personales “ser previamente informados de modo expreso, preciso e inequívoco” (Art 5.1 LOPD).

Hasta ahora se prestaba la información en largos y tediosos textos que casi nadie leía y se recababa el consentimiento no sólo de forma expresa -forma reservada a determinados datos especialmente protegidos-, sino también de forma Tácita -no me opongo, luego presto consentimiento- o incluso Presunta -sigo navegando, luego presto mi consentimiento-.

Ahora, el nuevo reglamento nos obligará a replantear como recabamos el consentimiento y la forma y la información que proporcionamos al Usuario

El Consentimiento en el nuevo Reglamento UE

Al contrario que hacía y hace aún la LOPD, el nuevo reglamento viene a exigir que para que la prestación del consentimiento para el tratamiento de datos personales sea válida el usuario realice una acción activa ya sea mediante una declaración expresa ya sea mediante acción afirmativa de algún tipo.

Además se exige  al responsable del tratamiento que sea capaz de demostrar  el consentimiento del usuario para el tratamiento de sus datos personales (”Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”).

Consentimiento de menores

Distingue la LOPD actual entre menores o mayores de 14 años En el caso de menores de 14 años deberán prestar el consentimiento sus representantes legales

El Reglamento UE también introduce modificaciones en esta materia al establecer una edad mínima para prestar consentimiento de 16 años, si bien abre la puerta a que los Estados miembros en sus legislaciones nacionales establezcan una edad inferior a estos efectos que en ningún caso podrá ser de menos de 13 años. Pero esa normativa evidentemente aún no existe y tenemos que quedarnos con el límite general de los 16 años

Además exige que “El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”. Una disposición obviamente muy vaga esta de los ‘esfuerzos razonables’ pero que seguro veremos desarrollada en su día por la práctica e informes de la AGPD

Consentimiento Informado

El consentimiento debe ser también y sobre todo “informado“. Así el nuevo Reglamento UE establece algunas nuevas obligaciones en este deber de información entre las que cabe destacar:

  • La información proporcionada al usuario debe ser “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño” .
  • La información será proporcionada “por escrito o por otros medios, inclusive, si procede, por medios electrónico”.
  • La información podrá ser facilitada verbalmente pero sólo ante petición del interesado y se demuestre la identidad del usuario por otros medios.
  • El derecho del usuario llegado el caso a acudir a una autoridad de control y a ejercitar acciones judiciales.
  • Se informará al usuario de los datos de contacto de la nueva figura creada por el reglamento del Delegado de Protección de Datos.
  • El plazo durante el cual se conservarán los datos o al menos los criterios utilizados para calcular tales plazos.
  • El derecho a la portabilidad de los datos
  • Y en su caso “la existencia de decisiones automatizas, incluida la elaboración de perfiles  …….) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

Todas estos cambios y muchos otros que trataremos en próximos posts no entrarán en vigor hasta el 25 de mayo de 2018, pero en algunos casos no son fáciles de implementar ni hay impedimento alguno para ir adaptándose a lo inexorable.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 14, 2015

Revolución legal en el “Cloud”

Archivado en: Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:47

El Tribunal de la UE ha dinamitado la figura del “Puerto Seguro” en Protección de Datos y revoluciona el Cloud: la AGPD podrá entrar a valorar si los datos transferidos fuera de la UE-desde Facebook a Dropbox o empresas de cloud- cumplen la normativa nacional… ¡Y no la cumplen!

Se empieza con una declaración contundente: “El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos” (sentencia en el asunto C-362/14)

Y sigue con el fondo del asunto: “ las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales”

¿Qué significa?

En primero lugar, que se le pasan a exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea.

Hasta esta resolución se permitía que la Comisión Europea publicara un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable a la LOPD. Entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los “principios de Puerto Seguro”. Para la transmisión al resto de países o entidades hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa del director de la AGPD.

Tras esta resolución, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD. Y ello es aplicable a Facebook -involucrada en la sentencia-, pero también a servicios de uso común como Dropbox o cualquier otro servicio cloud.

¿Es automático?

La normativa nacional obliga a solicitar autorización previa para la transferencia de datos fuera de la UE, pero entiendo que los datos ya transferidos lo fueron bajo el paraguas de una decisión de la Comisión Europea y bajo las directrices de la AGPD, por lo tanto la transferencia se hizo de forma legal.

El problema surge por un lado de que cualquier nueva transferencia de datos a EEUU requerirá del largo proceso y de la autorización previa para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de “puerto Seguro” para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

O dicho de otro modo, las autoridades Europeas podrán analizar a partir de ahora el tratamiento de los datos depositados en “puertos seguros”.

Entonces los servidores fuera cumplirán la norma

Pero,  ¿pasarán las empresas norteamericanas el filtro de las distintas agencias de protección de datos de Europa?

El Parlamento Europeo ha publicado un Informe comparativo de protección de Datos EEUU- UE que hace un estudio detallado del nivel del marco de uno y otro lado del océano y a la vista de los resultados parece difícil que un marco como el norteamericano pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales análogo al que se hace en Europa.

El informe es largo y detallado, pero incluye un interesante y clarificador resumen que  se transcribe al final de este post.

Consecuencias

Para el usuario de Internet: evidentemente mayor grado de protección.

Para quien maneje datos: la necesidad de una auditoría urgente del tratamiento de hace de esos datos.

(más…)

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Septiembre 17, 2015

Cuando declarar las ‘cuentas’ de PAYPAL

Archivado en: Comercio Electrónico, Emprender, Medios de pago — Etiquetas: , , — legisconsulting @ 11:51

El Real Decreto 1558/2012 estableció en su día la obligación de declarar cuentas y derechos en el extranjero superiores a 50.000€, pero surge la duda de cuándo se supera tal límite.

Como ya se ha manifestado anteriormente en este Blog, Paypal presta un Servicio de Pago en los términos de la Ley aunque sea ya una Entidad de Crédito. Y, las ‘cuentas‘ utilizadas para prestar este servicio no son equiparables a las Cuentas en Entidades de Crédito (bancos) porque así lo fija una ley de forma expresa. Es decir, que lo que tenemos en PAYPAL no es una ‘cuenta‘ en términos legales.

Si fueran consideradas como Cuentas en Entidades de Crédito, habría obligación de declararlas ante Hacienda cuando el saldo de las mismas supere los 50.000€ a 31 de diciembre o cuando el saldo medio del último trimestre supere esa misma cantidad aunque el saldo a 31 de diciembre sea inferior:

«Artículo 42 bis Obligación de informar acerca de cuentas en entidades financieras situadas en el extranjero

4. La obligación de información prevista en este artículo no resultará de aplicación respecto de las siguientes cuentas:

e) No existirá obligación de informar sobre ninguna cuenta cuando los saldos a 31 de diciembre a los que se refiere el apartado 2.d) no superen, conjuntamente, los 50.000 euros, y la misma circunstancia concurra en relación con los saldos medios a que se refiere el mismo apartado. En caso de superarse cualquiera de dichos límites conjuntos deberá informarse sobre todas las cuentas.

Pero aunque lo que tenemos en PAYPAL no es una ‘cuenta‘, ello no excluye la obligación de declararlas a hacienda que entiendo que puede deducirse del cajón de sastre que es otro apartado de la norma:

«Artículo 42 ter Obligación de información sobre valores, derechos, seguros y rentas depositados, gestionados u obtenidas en el extranjero

3. Los obligados tributarios a que se refiere el apartado primero de este artículo deberán suministrar a la Administración tributaria información mediante una declaración anual sobre:

b) Las rentas temporales o vitalicias de las que sean beneficiarios a 31 de diciembre, como consecuencia de la entrega de un capital en dinero, de derechos de contenido económico o de bienes muebles o inmuebles, a entidades situadas en el extranjero, con indicación de su valor de capitalización a dicha fecha.

Pero para esta obligación de declarar también se establece un límite de 50.000€ por debajo de la cual no hay obligación de hacerlo:

4. La obligación de información prevista en este artículo no resultará exigible en los siguientes supuestos:

c) Cuando los valores a los que se refieren cada uno de los apartados 1.b), 1.c) y 1.d), el valor liquidativo a que se refiere el apartado 2, el valor de rescate a que se refiere el apartado 3.a) y el valor de capitalización señalado en el apartado 3.b), no superen, conjuntamente, el importe de 50.000 euros. En caso de superarse dicho límite conjunto deberá informarse sobre todos los títulos, activos, valores, derechos, seguros o rentas.

Por ello entiendo que sólo habría obligación de declarar las ‘cuentas‘ de Paypal cuando el ‘saldo‘ -aunque sería más oportuno denominarlo derechos o rentas –  a 31 de diciembre supera los 50.000€.

Aunque siempre es posible que Hacienda venga a hacer una interpretación que entiendo como muy forzada de la norma. Esta interpretación sería que al ser PAYPAL es una Entidad de Crédito -aunque actúa como Entidad de Servicios de Pago-  y tener un funcionamiento su ‘cuenta‘ en cierta medida análoga a lo que sería una Cuenta en términos legales, serían de aplicación las normas aplicables a la mismas y no a los Derechos o Rentas que decía. Pero insisto, me parecería una interpretación, aunque posible, demasiado forzada.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 23, 2015

Bloqueo de cuenta de Paypal

Archivado en: Comercio Electrónico, Medios de pago, Organización de Empresa — Etiquetas: , , , — legisconsulting @ 11:18

A finales de este mes todas las entidades de crédito bloquearán las cuentas de los clientes que no estén plenamente identificados, pero Paypal (y todas las Entidades de Pago) lo llevan haciendo desde siempre.

Cuando nos damos de alta en uno de estos Servicios de Pago, no nos están pidiendo una identificación, sino que tal exigencia sólo se da cuando se dan algunas circunstancias concretas con posterioridad. Hasta entonces la Entidad de Pago (en adelante Paypal) se apoya en la identificación del usuario que hizo en su día el banco que abrió la Cuenta o la Tarjeta vinculada.

¿Cuándo bloquearán la cuenta?

Cuando superemos una cierta cantidad.

Ante cualquier tipo de acción que la entidad considere ’sospechosa’ y que van desde movimientos inusuales de fondos hasta acceso a la cuenta desde distintos lugares o IPs.

No hay un listado cerrada de acciones que lleven a ese bloqueo de la cuenta, sino que queda casi al arbitrio de cada Entidad y a las directrices que le haya comunicado de la Autoridad para la Prevención del Blanqueo que corresponda según la nacionalidad. En el caso de Paypal, la de Luxemburgo.

¿Por qué bloquean la cuenta?

La Directiva Europea sobre blanqueo de capitales obliga a estas entidades a vigilar las actividades de sus clientes y a asegurarse que estas no son de blanqueo de capitales o financiación del terrorismo. Y el incumplimiento de tales obligaciones legales de vigilancia conlleva las correspondientes sanciones.

Por ello Paypal, dentro de su actividad ‘preventiva‘ del blanqueo,  bloquea la cuenta hasta el momento en que el usuario le demuestre que no desarrolla actividades ilícitas con la cuenta.

¿Qué nos va a pedir?

Al momento de bloqueo de la cuenta Paypal remite al usuario un Email en que le solicitará una serie de datos y documentación para desbloquear la cuenta.

El listado de documentos solicitado variará en función de las circunstancias, e incluso recibido por Paypal un primer bloque de información, es posible que solicite aclaraciones posteriores o documentación adicional, manteniéndose todo este tiempo el bloqueo de la cuenta.

¿Quién nos lo pide?

La información que solicita la Entidad de Pago (Paypal) no la está solicitando Hacienda ni ninguna otra entidad pública, que lo harían directamente, sino que lo hace la propia Paypal dentro de su deber de vigilancia de sus clientes a que hacíamos mención anteriormente.

¿Con qué finalidad se pide?

Se suele pensar que esas solicitudes de información se hacen simplemente con fines de control fiscal, pero eso no es así.

Las entidades de pago como Paypal tiene la obligación de:

  • identificación del usuario real que está detrás de las operaciones;
  • de hacer un seguimiento de la actividad personal o profesional de tal usuario;
  • de adoptar todas las ‘medidas de conocimiento de los clientes‘ que entienda necesarias
  • y tiene la obligación de seguimiento continuado de los clientes y actualización de datos de los mismos.

Y ello para la prevención de delitos y no para buscar infracciones fiscales.

¿A quién se van a entregar esos datos?

Esos datos buscan entender y conocer al usuario dentro del deber de vigilancia que mencionábamos que tiene Paypal. Por ello, si Paypal entiende que no existe indicio de delitos desbloqueará la cuenta sin más.

Si entiende que hay indicios de delito, la Directiva 2005/60/CE obligó a la creación de un organismo independiente en cada país dedicada exclusivamente a la prevención del blanqueo de capitales (SEPBLAC en el caso de España) a quien la Entidad de Pago entregará la documentación y los informes de que disponga para que sea esta quien adopte las medidas que procedan con posterioridad.

En el caso concreto de Paypal, el organismo  (UIF lo llama la Directiva) al que enviará la información en su caso será el UIP de Luxemburgo por ser una Entidad de Crédito con sede en este país. Y ello porque la información se remite a “la UIF del Estado miembro en cuyo territorio se encuentre situada la entidad o persona que facilite dicha información

Qué hacer ante el bloqueo

La respuesta corta sería proporcionar cuantos documentos y explicaciones requiera Paypal (o cualquier otra Entidad de Pago), pero esto puede tener su dificultad.

EL control de Paypal busca entender y conocer perfectamente al usuario y su actividad para asegurarse de que no está cometiendo ningún delito. Y es desde esta perspectiva desde la que debe ser construido el escrito que se remitirá a Paypal para que desbloquee la cuenta. Y si no se hace correctamente, se corre el riesgo de una investigación penal. Por supuesto con la cuenta y los fondos bloqueados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »